Written by 夏野ゆきか
SEとして自動車業界/旅行業界の開発・保守・運用を経験後、フリーランスライターとして独立。IT系メディアに関するコラムや地域情報、エンタメなどの記事を執筆。
目 次
スミッシングとは?
スミッシングで狙われる3種類の情報
スミッシング攻撃がおこなわれる手順
スミッシングでなりすましの多い、5つの組織(事例)
もしもスミッシングの被害にあったら?
スミッシングにあわないための対策(個人編)
スミッシングにあわないための対策(企業・組織編)
スミッシングによる不正ログイン対策なら、LANSCOPE プロフェッショナルサービスにお任せ
まとめ
スミッシングとは、SMS(ショートメッセージサービス)を悪用した、フィッシング詐欺の一種です。
フィッシング詐欺の代表的な手口と言えば、フィッシングメール(電子メールによる手口)でしたが、近年は到達率が高く、開封率も高いSMSを利用した手口(スミッシング)が急増しています。
スミッシングの例としては、大手宅配業者を装って「再配達の希望はこちら」などの不在通知をSMSで送り、偽サイトに誘導して個人情報を入力させる、などの手口が代表的です。
攻撃者の用意する偽サイトは正規サイトと見分けがつかないほどよく似ており、日頃から意識していなければ、誰もが騙されてしまう危険性があります。
▼「ヤマト運輸」の再配達を装った、スミッシングの例
出典:IPA|URLリンクへのアクセスに注意(2021年8月31日)
スミッシングの被害にあうと、個人情報を盗まれてしまうため、代表的な手口や対処法などを事前に理解しておきましょう。
本記事では、スミッシングの概要や、よくある手口・被害にあわないための具体的な対策などを解説します。
▼この記事を要約すると
- スミッシングとは、大手企業や公的機関を装い、SMSを利用してフィッシングサイトへ誘導するフィッシング詐欺の一種
- メールアドレスに比べ宛先が予測しやすく、到達率・開封率が高いといった理由から、SMSが積極的に利用されている
- スミッシングの主な「なりすます対象(手口)」として、ECサイト・宅配業者・公的機関・通信業者・金融機関などがある
- もしスミッシング被害にあった場合、パスワードを変更し、不正使用が発生していた場合にはアカウントの利用停止やクレジットカード会社への問い合わせをする
- 個人対策として、SMS経由でURLをクリックしないことや送信元や文面をよく確認することなどが有効
- 企業・組織の対策としては「従業員のセキュリティ教育や訓練」「多要素認証などログイン認証の強化」「アンチウイルスソフトの導入」などがある
スミッシングとは?
スミッシング(Smishing)とは、「SMS(ショートメッセージ)」を悪用する、フィッシング詐欺手口を指します。
攻撃者は大手企業や公的機関を装い、不正なサイトへの誘導リンクを含むSMSをターゲットへ送ることで、フィッシングサイトへ誘導します。主にメールが用いられるフィッシング詐欺の中でも、「SMS」を活用する点が特徴です。
スミッシングの具体的な手口としては、
・大手銀行を装って「口座が不正利用されている可能性があるため、一時利用を停止しました」と通知。口座の再開手続きのためと言って、個人情報を入力させる
・大手宅配業者を装ってSMSに「再配達の希望はこちら」などの不在通知を送り、偽サイトに誘導して個人情報を入力させる
といったものがあります。
このような誘導に騙されると、個人情報が盗まれる、マルウェア(悪意のあるソフトウェア)に感染するなどの恐れがあります。
スミッシングは、近年増加する「フィッシング詐欺」の一種
スミッシングは「フィッシング詐欺」手口の1つであり、フィッシング詐欺の被害は2020年頃を境に増え続けています。
フィッシング対策協議会が毎月公表している「フィッシング報告状況」によると、2023年の1年間に報告されたフィッシング詐欺の件数は119万6390件で、2019年の5万5787件から20倍以上も増加しています。
※フィッシング対策協議会のデータをもとにMOTEXで作成
この数字からも見て取れるように、企業・組織はもちろん個人においても、フィッシング詐欺を念頭に置いたセキュリティ対策は、欠かせない課題となっています。
ただし、フィッシング対策協議会によると、誘導リンクには同一のURLが用いられるケースは少なく、ブラウザーのURLフィルターが有効に機能しないことが報告されています。URLフィルタリングによる対策が難しい状況であることから、誘導元となるフィッシングメール・SMS自体の対策を行うことが重要視されています。
フィッシング詐欺の手口や対策については以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
なぜスミッシングでは「SMS」を用いるのか?
攻撃者が手口に「SMS」を利用する理由は、以下のようなメリットがあるからです。
・攻撃者にとって、メールアドレスより「電話番号」の方が予測しやすい
・SMSは電話番号と紐づいているので到達率が高く、開封率も高い
・迷惑メールフィルタがない
まず攻撃者にとって、電話番号に用いられる「11桁の数字」を予測することは、メールアドレスを当てることに比べ非常に簡単です。
SMSでは、電波さえ届けば強制的にメッセージを送れる「プッシュ方式」という仕組みが採用されており、メールに比べ到達率が高いという特徴があります。
またメールに比べ信頼度が高く、メッセージの開封率が高い・あまり危機意識を持たずリンクをクリックするユーザーが多いことも、SMSが用いられる要因です。
▼SMSとメールを比較した表
| SMS | メール | |
|---|---|---|
| 配信方式 | プッシュ方式 | プル方式 |
| 宛先の予測のしやすさ | ○(11桁の数字を予測すればよい) | ×(文字数の制限がなく、数字・文字・記号がふくまれている) |
| 開封率・到達率 | 高い | 低い |
| セキュリティ対策 | 十分な対策がない | 迷惑メール対策あり |
このような理由から、SMSはメールに比べ効率がよく、かつ成功率の高いフィッシング詐欺手法であるため、積極的に犯行へ用いられているのです。
スミッシングで狙われる3種類の情報
スミッシングが行われる目的として、次の様な情報を取得することが考えられます。
1.アカウントの「ログイン情報」
2.クレジットカード情報
3.なりすましに利用する「個人情報」
攻撃者は、サービスを乗っ取って不正に利用したり、企業システムへ不正アクセスしたりするためにログイン情報を取得しようとします。
また、クレジットカード情報が取得できれば、オンラインショップでの不正購入・詐欺などに悪用することが可能です。
住所、氏名、生年月日、電話番号などの個人情報は、「なりすまし」に悪用できるだけでなく、「ダークウェブ」で売買できることから多くの攻撃者に狙われてしまいます。
ダークウェブとは、通常の検索エンジンでは表示されない、違法性の高い商材が多く取引されている匿名性の高いWebサイトのことです。
なりすましが行われると、知らない間に詐欺や犯罪行為へ自身の情報が悪用され、最悪の場合は「誤認逮捕」につながる可能性もあるでしょう。
スミッシング攻撃がおこなわれる手順
スミッシングは攻撃者により、以下のような手順で実施されます。
1.宅配業者や大手ECサイトを装い、SMSへランダムに送信する
2.SMSを受信したユーザーに、記載したURLをクリックするよう誘導する
3.ユーザーがURLをクリックすると、攻撃者が用意した偽のWEBサイトが表示される
4.フォームに個人情報を入力させる
攻撃者は宅配業者や金融機関などを装い、「不正アクセスの疑いがあるため、以下のURLよりID / パスワードを変更してください」など、ユーザーが思わずクリックしたくなるような内容のSMSを送ってきます。
これにだまされてURLをクリックしてしまうと、本物のWebサイトと酷似した偽のWebサイトへ誘導されてしまうのです。
▼「みずほ銀行」の偽サイトの例
出典:NHK|“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は
偽サイトと気付かずに情報を入力してしまうと、攻撃者に情報を盗まれ、悪用されてしまいます。
スミッシングでなりすましの多い、5つの組織(事例)
スミッシングは先述の通り、著名な会社や公的機関など、信頼できる組織を装いSMSを送ってきます。
ここでは、スミッシングでなりすましの多い、5つの事例について紹介します。
1.Amazonや楽天などECサイトになりすます
2.佐川急便など宅配業者になりすます
3.国税庁や保健所など公的機関になりすます
4.NTTなど通信業者になりすます
5.ネット銀行など金融機関になりすます
1.Amazonや楽天などECサイトになりすます
スミッシングで用いられる1つ目の手口は、Amazonや楽天など大手のECサイトになりすましてSMSを送信する方法です。
誰もが利用していそうな知名度のあるサイトを名乗り、相手を信じ込ませて、実際にありそうな内容の文章を送りつけます。
例えば「支払い方法に問題があり、注文商品の出荷ができません」「不正ログインがあったため、アカウントの利用を一時停止しました」のように、不安を煽る文面が多いのが特徴です。
▼「Amazon」を装ったスミッシングの例
出典:フィッシング対策協議会|Amazon をかたるフィッシング (2020/11/27)
2.佐川急便など宅配業者になりすます
スミッシングで用いられる2つ目の手口は、佐川急便やヤマト運輸など宅配業者になりすましてSMSを送信する方法です。
「お荷物のお届けにあがりましたが、不在の為持ち帰りました」 など、不在通知を装ったSMSの送信が多発しています。
▼「ヤマト運輸」を装ったスミッシングの例
出典:IPA|URLリンクへのアクセスに注意(2021年8月31日)
佐川急便、ヤマト運輸、日本郵政などでは「SMSによる案内は行っていない」旨を発表しています。もしこれら宅配業者を名乗るSMSが届いた場合、速やかに削除しましょう。
3.国税庁など公的機関になりすます
スミッシングで用いられる3つ目の手口は、国税庁など公的機関になりすましてSMSを送信する方法です。
「【重要なお知らせ】必ずお読みください」「未払い税金お支払いのお願い」といった、文面が送られてきます。
▼「国税庁」を装ったスミッシングの例
出典:フィッシング対策協議会|国税庁をかたるフィッシング (2022/08/15)
URLをクリックするとフィッシングサイトに誘導され、プリペイドカードの発行番号やクレジットカード情報などの入力を求められます。
4.NTTなど通信業者になりすます
スミッシングで用いられる4つ目の手口は、NTTなど通信事業者になりすましてSMSを送信する方法です。
「利用料金が高額になっています。ご確認が必要です」「利用料が未払いです。確認してください」 のように、利用料金について不安を煽るような文面が送られてくる傾向があります。
▼「NTTドコモ」を装ったスミッシング
出典:フィッシング対策協議会|NTTドコモをかたるフィッシング (2022/02/10)
5.ネット銀行など金融機関になりすます
スミッシングで用いられる5つ目の手口は、ネット銀行など金融機関になりすましてSMSを送信する方法です。
「不正アクセスを検知しました」「個人情報再確認のお願い」 などのような文面が送られてきます。
▼「三菱UFJ銀行」を装ったスミッシング
出典:フィッシング対策協議会|三菱UFJ銀行をかたるフィッシング (2023/10/30)
URLをクリックすると、ネット銀行のログインページを装うWebサイトへ飛ばされ、口座や個人情報などの入力を促されます。
もしもスミッシングの被害にあったら?
万が一「スミッシング被害にあってしまった」と疑われる場合は、次の対処法を速やかに実施しましょう。
・アカウントのパスワードを変更する
・アカウントで不正使用が発生していないか確認する
・クレジットカード会社やサポートデスクへ問い合わせる
まずは 正規の手順よりアカウントのパスワード変更 を行いましょう。パスワードを変えることで、攻撃者の再ログインや不正利用の再発を防止できます。可能であれば、新しいメールアドレスを登録し、パスワードだけでなくログインIDも変えておくと、さらに安全です。
複数のサービスでIDやパスワードを使いまわしている場合は、同一パスワードを利用する、すべてのサービスにてログイン情報の変更を行います。
また、スミッシング被害が疑われるアカウントに、身に覚えのない支払い履歴やメッセージのやり取りなど、不正利用の形跡があるか確認しましょう。「不正送金」や「意図しない投稿」等が見られた場合、速やかにクレジットカード会社やサービスのサポート窓口へ問い合わせ、相談を仰ぎます。
スミッシングにあわないための対策(個人編)
スミッシングの被害にあわないためには、個人での対策も大切です。ここでは、個人でできるスミッシングの対策を紹介します。
1.SMSに記載されたURLを安易にクリックしない
2.送信元や文面をよく確認する
3.個人情報の入力や問い合わせは公式サイトから行う
4.OSを常に最新の状態にしておく
SMSに記載されたURLをクリックすると、偽サイトへ誘導される他、マルウェア感染の可能性もあります。
そのため、個人情報の入力や問い合わせをする場合は、SMSのURLからではなく、公式サイトや公式アプリからアクセスすると良いでしょう。
よく使うサイトは「ブックマーク」をしておくのがおすすめです。
また、マルウェア感染を防ぐためにも、OSやソフトウェアは定期的にアップデートし、脆弱性を解消することがおすすめです。
他にも、SMSの送信元が正しい電話番号・ドメインを用いているか、確認することも忘れないようにしてください。
スミッシングに悪用されやすい企業の中には、下記のように公式サイトで「正規の電話番号やドメイン」を公開しているケースが少なくありません。
| 企業名 | 正規電話番号またはドメインを公開している公式サイトのページ |
|---|---|
| Amazon | Amazon.co.jpからの電話かどうかを見分ける |
| ヤマト運輸 | ヤマト運輸からメールやSMSが送られてきましたが、「迷惑メール」と見分ける方法はありますか? |
| 楽天 | 不正なSMSにご注意ください |
| 三井住友銀行 | 三井住友銀行のSMS(ショートメッセージ)か、迷惑SMSかを確認したい |
ただし、攻撃者はユーザーを欺くため、正規の番号やドメインと酷似した送信元を用いて、SMSを送ってくる可能性もあります。
対策として、電話番号やドメインだけでなく「メッセージの内容」も必ず確認しましょう。スミッシングの場合、日本語が不自然であったり、文面が簡素であったり、何かしら違和感のある場合は多いです。
スミッシングにあわないための対策(企業・組織編)
スミッシングの被害にあわないためには、企業・組織における対策も重要です。ここでは、企業や組織で行うべき3つの対策を紹介します。
1.従業員のセキュリティ教育と訓練
2.「多要素認証」の導入など、ログイン認証の強化
3.アンチウイルスソフトの導入
1.従業員のセキュリティ教育と訓練
近年は業務にPCだけでなく、モバイル端末を使うケースも珍しくありません。
従業員のフィッシング・スミッシング詐欺に対する危機意識が必要ですが、セキュリティ知識は個々で差があり、個人での対策にもばらつきがでる可能性があります。全従業員が同等のセキュリティ知識を身につけられるよう、定期的に研修や訓練を実施するのがよいでしょう。
・安易にURLをクリックしない
・SMS経由のWebサイトに、カード番号や認証情報は入力しない
・見覚えのない電話番号は疑う、対応しない
ことに加え、「スミッシングで用いられるSMSの特徴・見分け方」を従業員に周知します。
2.「多要素認証」の導入など、ログイン認証の強化
スミッシングでログイン情報を奪われた場合も、サービスやシステムに 「多要素認証」 を導入しておくことで、根本的に不正アクセスを防止することが可能です。
多要素認証とは、通常のID・パスワードを用いる認証に加え、生体情報(指紋や顔)・所持情報(ワンタイムパスワード等)を組み合わせることで、不正アクセスを防止する認証方法です。
多要素認証については以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
3.アンチウイルスソフトの導入
先述のとおり、攻撃者から送られてきたSMS内のURLをクリックしただけで、マルウェアに感染してしまうケースもあります。
マルウェア感染を防ぐためにも、スマートフォンに対応した、アンチウイルスソフトを導入しておきましょう。
スミッシングによる不正ログイン対策なら、LANSCOPE プロフェッショナルサービスにお任せ
1.クラウドサービスの不正ログインを防ぐ「クラウドセキュリティ診断」
1つ目に紹介するのが、Microsoft 365 やAWS・Salesforce といったクラウドサービスの設定不備を見直し、不正アクセス被害を無くす 「クラウドセキュリティ診断」 です。
クラウドサービスへの不正アクセスは、昨今後を絶ちません。乗っ取られる原因の多くは、「不十分な認証設定」「アクセス権限のミス」など、お客様自身の「クラウドの設定」に問題があるケースが大半です。
「クラウドセキュリティ診断」では、知識豊富な弊社のエキスパートが、御社がご利用中のクラウドサービスにおける、設定上の不備の洗い出しと正しく設定するための支援を行います。
例えば、各種クラウドサービスに「多要素認証」を適用する・セッションタイムアウト時に「強制的にログアウトさせる」など、不正ログインの原因を根本から改善します。
スミッシングをはじめ「ログイン情報」が漏洩した場合も、クラウドサービスへの不正アクセスを防ぎ、貴社の情報資産をハッカーから守ります。
2.「認証周り」の課題に対策できる「セキュリティ診断(脆弱性診断)」
2つ目に紹介するのは、お客様のサーバやネットワーク・アプリケーションに、セキュリティ面の欠陥(脆弱性)がないかをテストする「セキュリティ診断(脆弱性診断)」です。
こちらは主にソフトウェアやアプリケーションを提供する、開発者・ベンダー様におすすめのサービスとなります。
当社のセキュリティ診断では、お客様が運用されるサーバやアプリケーション環境に置いて、不正ログインに関わる「認証周り」の課題を、以下の観点から弊社のエキスパートが診断。適切な改善策を提示します。
▼脆弱性診断:アカウント乗っ取りにかかわる「認証周り」の主な確認観点
アカウントロックがあるか(適切か)
多要素認証があるか
エラーメッセージから認証情報が推測できないか
パスワードの強度は十分か
明らかになった課題に対しては、詳細な診断レポートを発行し、現状課題と必要な対策をお伝えします。
まとめ
今回は、スミッシングとはなにか手口や被害にあわないための具体的な対策を紹介しました。
本記事のまとめ
- スミッシングとは、大手企業や公的機関を装い、 SMSを利用して偽のサイトへ誘導するフィッシング詐欺の一種
- スミッシングの目的は、 個人情報 や アカウント情報 、 クレジットカード情報 を入手すること
- スミッシングで用いられる主な手口に、 ECサイト・宅配業者・公的機関・通信業者・金融機関 へのなりすましがある
- 被害にあったら、アカウント停止やパスワード変更、カード会社等への連絡を速やかに行う
- ログイン情報漏洩の根本対策として、ID・パスワードだけに頼らない認証の導入がある(多要素認証など)
スミッシングの被害は近年増加傾向にあり、メールに比べ詐欺かどうかを見分けるのが難しいという課題もあります。
スミッシング被害にあわないためにも、個人組織を問わず、普段からフィッシング詐欺を念頭に置いた、SMSとの関わり方・セキュリティ対策を行いましょう。
関連する記事
